跳到主要内容

使用动态访问控制(DAC)保护文件访问

可通过使用动态访问控制,以及通过在 Active Directory 中创建访问策略并通过应用的组策略对象(GPO)将其应用至 SVM 上的文件和文件夹来保护访问。可配置审核以使用中心访问策略暂存事件在应用前查看中心访问策略的更改效果。

CIFS 凭证的添加信息

在动态访问控制之前,CIFS 凭证包括安全主体(用户)的身份信息和 Windows 组成员资格。通过动态访问控制,会将另外三个信息添加至凭证 — 设备身份、设备声明和用户声明:

  • 设备身份

    类似于用户的身份信息,但它只是用户登录设备的身份信息和组成员资格。

  • 设备声明

    关于设备安全主体的断言。例如,设备声明可能是,此设备为特定 OU 的成员。

  • 用户声明

    关于用户安全主体的断言。例如,用户声明可能是,其 AD 帐户为特定 OU 的成员。

中心访问策略

文件中心访问策略可以让组织集中部署,并对包含使用用户组、用户声明、设备声明和资源属性的条件表达式的授权策略进行管理。

例如,对于访问易影响业务的数据时,用户需要是全职员工,并且仅可从受管设备访问数据。中心访问策略在 Active Directory 中定义,并通过 GPO 机制分布至各个文件服务器。

使用高级审核的中心访问策略暂存

中心访问策略可以暂存,在这种情况下,这些策略将以假设的方法在文件访问检查期间进行评估。如果该策略生效会发生什么情况,该策略与当前配置的策略有何不同,这两个问题的结果将作为审核事件记录。这样,管理员便可在实际使用策略前,使用审核事件日志研究访问策略更改的影响。访问策略更改的影响评估完成后,该策略即可通过 GPO 部署到所需的 SVM